エクスポージャー管理はサイバーセキュリティをどう変えるか

戦略を導く5つのパラダイムシフト

1.

「攻撃対象領域」の概念が大幅に広がるでしょう。

2.

組織はサイバーセキュリティリスクを包括的に捉える方向にシフトするでしょう。

3.

サイバーセキュリティリスクは、主観的評価から客観的評価へと移行するでしょう。

4.

経営幹部は、情報に基づいたサイバーセキュリティ管理に関する意思決定を優先するようになるでしょう。

5.

サイバーセキュリティ戦略が事業投資の指針となるでしょう。

エクスポージャー管理という概念は、サイバーセキュリティを変革するひとつの力として浮上しています。 リスクを単独でとらえることが多い従来の手法とは異なり、エクスポージャー管理では、脅威をより広範な事業目標の枠組みの中に位置づけ、状況に照らし合わせて理解することが奨励されています。 こうした転換は単なる視点の変更にとどまりません。企業がセキュリティにどのように取り組むかという根本的な考えを再構築することなのです。

現在、組織が直面している脅威は、その数と複雑さを増すばかりです。組織によるサイバーリスクの考え方も、それに見合った成長が求められています。 セキュリティは、もはや IT 部門内でサイロ化することができず、 ビジネスのあらゆる役職において、リスクの特定・軽減・管理の責任が共有されなれければなりません。 こうした協調的アプローチは、組織の回復力を高め、イノベーションを促進し、競争上の優位性を高める役割を果たします。

エクスポージャー管理は継続的に存在感を増し、サイバーセキュリティの分野を変革し、ビジネスレベルでのサイバーセキュリティの捉え方を根本的に変える可能性を秘めています。 Ivanti が考える以下の 5 つの予測は、その可能性だけでなく、そこから発生する成果についても関わるものです。

bg-one

01

「攻撃対象領域」の概念が大幅に広がるでしょう。

あなたの組織の攻撃対象は、静的なものとはほど遠いものです。 急速に変化しています。これまで攻撃対象領域を定義していた伝統的なパラメータ(ソフトウェアおよびハードウェア)では、現代のセキュリティ戦略の数多くの重要事項を捉えることができなくなっています。

現代のビジネスの原動力となっているテクノロジーがさらに相互の繋がりを強めるにつれて、企業の攻撃対象領域もそれにともなって拡大しています。 クラウド環境、サードパーティベンダーといった動的な要素は独自の脆弱性をもたらしており、組織はこれらを無視できなくなっています。

ここでは、あなたが見落としているかもしれない攻撃対象の要素をいくつか紹介していきます。

攻撃対象領域を幅広く見てみましょう。

編集可能なチェックリストを使って、上記の資産カテゴリーやその他の資産カテゴリーを詳しく調べ、それらを追跡するために使用できるツールもご覧ください。

チェックリストを入手する
mac
bg-two

02

組織はサイバーセキュリティリスクを包括的に捉える方向にシフトするでしょう。

現在、リスク管理は、すべてではないにせよ、その大部分をITチームが担っています。 IT部門がサイロ化されているため、中核事業へのITの関与と、組織レベルでのITの取り扱いとが適切に調和していないのです。

さらに、ポイントプロダクト、つまり特定のセキュリティ脅威発生時に対処するために設計されたソリューションを中心に展開されることも多く、サイバーリスクを全体的に捉えるのではなく、異なる専門分野でのフィードバックループを生み出しているのです。 ポイントプロダクトは適切な相互統合ができないことが多いため、その連携にギャップが生じると、結果としてセキュリティの適用範囲にギャップが生じることになります。

このような欠陥のある方式から脱却するには、リスクデータを統合し、サイバーセキュリティリスクを包括的かつ状況に適合した見方で捉えるようにすべきです。

総合的なリスク管理に向けて、実践的なステップをいくつかご紹介しましょう。

データ収集

組織全体で使用されているすべてのサイバーセキュリティツールとプラットフォームの包括的なインベントリを作成します。 エクスポージャー管理準備チェックリストの例を参照し、埋めるべき可視性ギャップの特定に役立ててください。

統合型リスク管理

エクスポージャー評価プラットフォーム(EAP)やリスクベースの脆弱性管理(RBVM)ツールのような一元化されたプラットフォームを導入し、これらのツールから集約された資産とエクスポージャーデータを使用してリスクを判断し、リスク態勢の統一的なビューを可能にしましょう。

戦略的アライメント

エグゼクティブレベルのレポートを作成し、リスク選好度に対する組織のリスク状況を簡潔に示すことで、サイバーセキュリティをビジネスプランニングの中核に据えましょう。

エクスポージャー管理の準備体制を把握する。

チェックリストを使用して、現在の能力と、埋めるべきギャップを確認しましょう。

チェックリストを入手する
tablet
bg-3

03

サイバーセキュリティリスクは、主観的評価から客観的評価へと移行するでしょう。

現在のセキュリティ運用チームが使用しているメトリクスは、普遍的に受け入れられる標準を備えておらず、戦略的なプランニングに効果的に反映されていません。 セキュリティのフレームワークや標準はある程度の指針にはなるものの、多くの場合、それをどのように行うかよりも、何を行うべきかに重点が置かれています。

エクスポージャー管理は、意思決定データをより厳密に測定することにつながり、また、経営陣に提出されるアウトプットを合理化します。つまり、組織を望ましいセキュリティ態勢に導くための実用的で客観的な情報なのです。

その実現のためのステップをご紹介しましょう。

01

対象資産の特定

機密情報や重要なビジネスプロセスなど、その侵害がビジネスに最も大きな影響を与える資産と、その資産に依存するIT資産を特定することで、組織にとって最も重要な領域にリスク評価を集中させることができます。

users using a tablet

02

資産価値を割り当てる

資産に関連するリスクを効果的に管理するには、まず各資産の価値を割り当てることから始めましょう。 その分析には、一般的な市場動向ではなく、内部データ、リスク選好度、独自の脆弱性など、組織に特有の情報を使用します。

workers sitting at a table

03

脆弱性と脅威を特定する

最も優先度の高い脅威と脆弱性を特定することで、重要な資産が侵害される可能性が最も高いルートが示されます。その情報を資産価値と重ね合わせると、ビジネスに対するリスクを定量化することができます。

women using a computer

04

リスクを計算する

次に、潜在的な脅威イベントの可能性と資産への影響を評価して、リスクレベルのデータ駆動型評価に到達します。

workers looking at tablet

05

費用対効果分析の実施

最後に、リスク評価を使用して、組織のリスク許容度に沿って、緩和策と受容策の費用便益分析を行います。 継続的に進化する機械学習で、組織が意思決定を行う際に正確かつリアルタイムのリスク評価ができるようになり、この移行が促進されます。

women using a tablet

リスクを客観的に評価する

risk

リスクの定量化の適用方法

定量的リスク評価の活用方法については、ブログを参照してください。

ブログを読む
data driven

データ主導型リスク評価ガイド

データ駆動型リスク評価の実施に関する詳細なリソースについては、ガイドを参照してください。

ガイドを読む
key metrics

エクスポージャー管理の指標入門

エクスポージャー管理の主要な指標を理解するために、簡単なガイドをご覧ください。

ガイドを読む
bg

04

経営幹部は、情報に基づいたサイバーセキュリティ管理での意思決定を優先するようになるでしょう。

わかりやすいメトリクスが共有されていなければ、意思決定を任された経営幹部にサイバーセキュリティのリスクを適切に説明することはできません。 結果を客観的に測定することができなくとも、実質的に組織のセキュリティ戦略を考える責任は経営幹部にあります。

現在、客観性があり、なおかつデータドリブンな意思決定に直結する信頼できるプロセスは存在しません。 そのため、サイバーセキュリティをビジネス戦略に盛り込むことは、不可能ではないにしても困難になっています。組織のリスク選好度をしっかりと評価することが妨げられたり、阻まれたりしているのです。

経営幹部はエクスポージャー管理を行うことによって、情報に基づき、一貫性があり、説明可能なサイバーセキュリティ・リスク管理の意思決定を行うコア・コンピテンシーを習得できるようになります。 リーダーは、強固なデータと高度な分析を備えることで、リスクをビジネス用語で表せるようになり、組織全体のコミュニケーションと連携が促進されます。

これを実現するには、ベンダーの新しい能力だけでなく、企業文化の変化や意思決定プロセスを見直そうという意欲が必要となります。

establishexecutiveexecutive lady working

それには何が必要か、どのようなアプローチが必要なのかを考えてみましょう。

確立する

導入する

促進する

伝える

レビューする

リスク許容度のフレームワークを確立する

組織のリスク選好度と事業目標との整合性を定義し、意思決定の指針となるフレームワークを作成し、一貫性を確保しましょう。 リスク許容度の基礎を理解し、開始する準備ができたら、リスク許容度ステートメントテンプレートを使用します。

高度な分析を導入する

データ駆動型のインサイトを使用して進捗状況を測定し、リスクに対する選好度と比較して現在のリスク状況を特定します。 RBVMツールとEAPは、リスク状況の全体像を把握することで、傾向を特定し、脅威を予測するのに役立ちます。

部門横断的な連携を促進する

定期的な会議やワークショップを開催して一貫性のある取り組みを実現してサイロを解体し、セキュリティチーム、IT チーム、ビジネスチーム間の連携を促進しましょう。

リスクをビジネス用語で伝える

共有された言語と読みやすい測定基準によって、そのコラボレーションをサポートしましょう。 サイバーリスクを、データ漏えいによって予想される収益損失など、潜在的なビジネス上の影響に置き換えることで、さまざまな利害関係者がより適切に関与できるようになります。

定期的な見直しと適応

情報に基づいた意思決定を継続的なプロセスにする 進化する脅威の状況に適応するため、リスク、管理、想定事項を定期的に見直しましょう。 経営幹部が情報を入手し、関与することで、サイバーセキュリティリスクは、ビジネスレベルの意思決定において相応に大きな役割を担うことができるようになり、その多くは、上記で取り上げたデータによって推進することができます。

establishimplementfostercommunicateregularly

リスク許容度に関する情報を得る

lady thinking

リスク許容度を理解する

リスク許容度の基礎知識については、当社のブログをご覧ください。

ブログを読む
presenter presenting

リスク許容度ステートメントテンプレート

編集可能なテンプレートを使って、独自のリスク選好度声明を作成し、実行に移しましょう。

テンプレートをダウンロードする
bg

05

サイバーセキュリティ戦略が事業投資の指針となるでしょう。

現在、サイバーセキュリティは主に技術的な専門家によって管理されていますが、彼らは自身のニーズを経営幹部に効果的に伝えることによく苦労しています。 同時に経営幹部は、サイバーセキュリティの重要性と、それを軽視するリスクを十分に認識していながらも、経営幹部とIT/セキュリティ・チーム間の知識のギャップを埋める能力を必ずしも持ち合わせていません。

こうした壁があるために、いかなる組織でも「優れた」「合理的な」サイバーセキュリティ予算や戦略を定義することが難しくなっています。 その結果、十分な情報に基づいた判断ではなく、恐怖心や業界のトレンドに基づいて決断が下されることがきわめて多く。 こうしたアプローチは、優先順位のズレ、非効率的なリソース配分、説明責任の欠如をもたらしています。 以上を総合すると、自らを守るために正しい手順を踏んでいると信じる組織でさえ、それが失敗に終わる可能性があるのです。

これらの課題に対処するために、組織はサイバーセキュリティに対する戦略的アプローチを実装し、パフォーマンスデータに対して業務上の優先順位を測定する必要があります。

サイバーセキュリティ戦略の整合性をとる

em concepts

エクスポージャー管理説明用スライド

編集可能なスライドデッキを使って、ステークホルダーにエクスポージャー管理の主要概念を紹介しましょう。

スライドをダウンロードする
risk finding

リスク評価報告書テンプレート

編集可能なスライドテンプレートを使用して、リスク評価の結果と推奨事項を報告しましょう。

スライドをダウンロードする

セキュリティ戦略の転換

エクスポージャー管理がより明確な形になるにつれて、上記の5つのパラダイムシフトは、市場として、実践の分野として、そして戦略的なビジネス目標としてのサイバーセキュリティに大きな影響を及ぼしています。

Ivantiのエクスポージャー管理ソリューションは、外部からの攻撃対象領域管理、リスクベースの脆弱性管理、およびエクスポージャー修復機能を組み合わせて、お客様の環境をプロアクティブに保護します。

Ivantiのソリューションを探る